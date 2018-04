Le matériel, les logiciel, les services liés à la protection informatique devraient représenter 91 milliards de dollars de chiffre d'affaires dans le monde pour cette année 2018.

C'est une augmentation de 10% par rapport à 2017. Cela semble plutôt normal, les menaces informatiques se multiplient, les attaques deviennent de plus en plus sophistiqués. Il n'y a pas une semaine sans qu'on découvre un piratage informatique de grande ampleur et les failles informatiques sont devenues un enjeu essentiel.

Bug bounties

Concernant ces failles informatiques, le marché est également en plein essor, mais de manière plus inquiétante. Aujourd'hui, si vous êtes une société qui édite des logiciels, qui publie un site Web, et qu'un pirate informatique vient vous présenter une faille qu'il a trouvée sur votre produit, vous le rémunérez pour cela. C'est prévu de manière légale, des "bug bounties" comme on les appelle existent depuis 20 ans, littéralement des primes à la faille informatique. Ces "bug bounties" sont des plateformes qui fédèrent des groupes de pirates informatiques et qui récompensent financièrement la découverte d'une faille.

Il s'agit en fait d'intermédiaires entre des pirates éthiques et des entreprises. Les géants du numérique passent pratiquement en permanence via ce genre de programme, cela coûte beaucoup moins cher qu'un audit interne (les récompenses vont de quelques centaines à quelques milliers d'euros). Fait plus inquiétant : l'émergence de nouvelles structures qui viennent bouleverser ce marché des failles informatiques. "D'autres sociétés qui opèrent souvent sur des marchés parallèles, qui font monter les enchères en offrant des sommes assez conséquentes, constate Renault Dubois, informaticien réseau spécialisé en sécurité informatique. Une faille sur le système d'exploitation au courant, très ciblée, peut dépasser le million de dollars". Les grosses primes viennent donc concurrencer les primes légales.

Entre de mauvaises mains?

Une fois qu'elles ont acheté une faille informatique, ces entreprises les revendent. À qui ? C'est évidemment toute la question. L'opacité généralisée est parfois à un million de dollars. "Il est clair qu'un acteur qui va mettre un tel prix sur la table, ce n'est pas uniquement à des fins intellectuelles ou de divertissement, estime Renault Dubois qui a quelques doutes sur le destinataire final. C'est très certainement pour pouvoir l'exploiter à des fins malicieux". Des failles qui finissent donc potentiellement dans les mains de pirates informatiques malintentionnés.

Cela pose donc également la question de nos données personnelles. Mais concernant la fuite de données personnelles, on estime que trois quarts de ces fuites ne sont pas causés par du piratage, mais par erreur ou par amateurisme. Un mail qui contient des données personnelles et qui est envoyé au mauvais destinataire, des données qui se trouvent en ligne, des grosses bases de données non protégées, sans de mot de passe, auxquelles n'importe peut accéder. De quoi rassurer, peut-être, mais de quoi également inciter certaines entreprises à continuer les investissements en sécurité informatique.